Fóruns do Joomla.com.br e JoomlaBrasil.org

Foruns dos antigos sites Joomla.com.br & JoomlaBrasil.org & MamboBrasil.org
https://www.fernandosoares.com.br/forum/

Falha gravíssima na série 1.5.x

https://www.fernandosoares.com.br/forum/viewtopic.php?t=80

Página 1 de 1

Falha gravíssima na série 1.5.x

Enviado: 12 Ago 2008, 17:57
por bigodines
Descoberta uma falha gravíssima na série 1.5.x.

Mais informações quando o patch foi liberado. Por enquanto, só recomendo a todos que façam backups de seus sites o mais rápido possível.

Re: Falha gravíssima na série 1.5.x

Enviado: 12 Ago 2008, 18:14
por Chico Gois
Tem previsão para liberação?

Re: Falha gravíssima na série 1.5.x

Enviado: 12 Ago 2008, 18:50
por bigodines
ainda hoje.

Re: Falha gravíssima na série 1.5.x

Enviado: 12 Ago 2008, 19:23
por bigodines
pessoal,

eis um fix temporário:

no arquivo: components/com_user/models/reset.php procurem pelo método: confirmReset e coloquem esse if:

Código: Selecionar todos

 if(strlen($token) != 32) {
                        $this->setError(JText::_('INVALID_TOKEN'));
                        return false;
                }
o resultado vai ser:

Código: Selecionar todos

function confirmReset($token)
        {                
                global $mainframe;

                if(strlen($token) != 32) {
                        $this->setError(JText::_('INVALID_TOKEN'));
                        return false;
                }


                $db     = &JFactory::getDBO();
                $db->setQuery('SELECT id FROM #__users WHERE block = 0 AND activation = '.$db->Quote($token));

                // Verify the token
                if (!($id = $db->loadResult()))
                {
                        $this->setError(JText::_('INVALID_TOKEN'));
                        return false;
                }

 // Push the token and user id into the session
                $mainframe->setUserState($this->_namespace.'token',     $token);
                $mainframe->setUserState($this->_namespace.'id',        $id);

                return true;

}
ESSE NÃO É O PATCH OFICIAL, é só uma emergência. Se preferirem, aguardem a versão 1.5.6, que deverá ser lançada nas próximas horas.

Re: Falha gravíssima na série 1.5.x

Enviado: 12 Ago 2008, 20:08
por bigodines
Joomla! 1.5.6 lançado. Mais detalhes aqui: http://www.joomla.com.br/notas-mainmenu ... a-156.html

Re: Falha gravíssima na série 1.5.x

Enviado: 18 Ago 2008, 16:06
por mcloide
Confirmado o exploit. Eu fiz os passos necessarios para um hack em meu proprio site e com muita facilidade troquei a senha. O exploit eh tao simples que um menino de 5 anos consegue reproduzir (nao estou brincando).

A todos aqueles que tem Joomla 1.5 com versao inferior a 1.5.6, facam atualizacao urgentemente.

Maiores detalhes sobre como corrigir o exploit: http://developer.joomla.org/security/ne ... ality.html

Re: Falha gravíssima na série 1.5.x

Enviado: 21 Ago 2008, 18:35
por kromm
Pessoal,

O site de um cliente é versão 1.5.x e foi hackeado. Já está tudo resolvido, alterei as senhas, fiz a correção do exploit, mas gostaria de saber como é feito o update do 1.5.0 para o 1.5.6 sem comprometer o site que já está no ar.

Detalhe : meu site é em português-Br.

Valeu ! :D

Kromm

Re: Falha gravíssima na série 1.5.x

Enviado: 22 Ago 2008, 17:32
por gislaine
Meu site foi invadido e trocaram a minha senha de login ele foi invadido pelo joomla n pelo servidor, como que eu faço para me protejer?
tive que trocar de servidor, perdi todo o site.

Re: Falha gravíssima na série 1.5.x

Enviado: 22 Ago 2008, 17:49
por pchardnet
@Gislaine,
era só ter atualizado o seu Joomla! para a versão 1.5.6 que você certamente não teria problema.

@Kromm,
se o seu site não tiver nenhum Hack nos arquivos Core você só tem que enviar os arquivos do Patch para o servidor.


seguem alguns links que pode ajudar

Oficial - http://www.joomla.org/announcements/rel ... eased.html
Oficial - http://developer.joomla.org/security/ne ... ality.html

Joomla!Brasil - http://www.joomla.com.br/noticias/252-l ... a-156.html
Joomla!Minas - http://joomlaminas.org/news/joomla/88-a ... a-156.html

Re: Falha gravíssima na série 1.5.x

Enviado: 05 Set 2008, 01:09
por Atmicro
Importante tbm ter uma cópia de segurança do BD em arquivo .sql com toda a base de dados, além do backup completo de todos os arquivos, tive diversos sites que foram invadidos por essa falha esses dias, recuperei todos com certa facilidade, bastou recompilar o Banco de dados com o arquivo de Back up que mantenho de cada um. Na pior das hipóteses vc perde só as últimas atualizações, como as faço semanalmente, perdi apenas uma semana de cada.

Vcs acham que seria bom fazer um tutorial sobre isso? Estou realmente pensando em fazer para disponibilizar no meu site. Mas só o farei depois que ele estiver 100%, visto que ainda estou desenvolvendo, acessem e me dêem suas opiniões, claro, o design está meio fraco ainda visto que estou mais preocupado com à parte funcional, ele é PHP / MySQL e não Joomla. Mas ... :D. Caso queiram a versão que uso do EMS que é Free me mandem um email, atmicro@atmicro.com.br
http://www.atmicro.com.br/
Todos os horários são UTC-03:00
Página 1 de 1

Powered by phpBB® Forum Software © phpBB Limited

Traduzido por: Suporte phpBB